SynAck

SynAck Ransomware

El_Cometa Ransomware

(шифровальщик-вымогатель)

Как удалить? Как расшифровать? Как вернуть данные? 

👮 Если вы стали жертвой преступления в России, Беларуси, Казахстане или Украине, то вам нужно написать онлайн-заявление в Управление "К" МВД России, Беларуси и соответствующие ведомства МВД Казахстана и Украины (инструкция). 
👮 Если вы стали жертвой преступления в Европе, вам нужно обратиться в местную полицию. При необходимости они сами свяжутся с Европолом или Интерполом.

👮 If you are the victim of a crime in Europe, you need to contact your local or national police. The authorities will contact Europol or Interpol if required. 
👮 Are recommended that anyone citizen of the USA who is affected by this Ransomware file an official complaint with the FBI by going to this URL. 

Информация о шифровальщике

Этот крипто-вымогатель шифрует данные пользователей с помощью ECIES + AES-256 (режим ECB), или в другом варианте с помощью RSA-2048 и AES-256, а затем требует выкуп в $2100 в BTC, чтобы вернуть файлы. Оригинальное название: SynAck (содержится в строках записки о выкупе и в логине email). Разработчики: SynAck Team.

© Генеалогия: SynAck

К зашифрованным файлам добавляется случайно расширение, которое можно записать как .<random10>

Примеры зашифрованных файлов: 
document01.txt.wxdrJbgSDa
document02.doc.nUZPveYgIp
document03.zip.SMGfqOEIwE 

Активность этого крипто-вымогателя пришлась на начало сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. По данным ЛК пострадавшие в США, Кувейте, Германии и Иране.

Записка с требованием выкупа называется: RESTORE_INFO-[ID].txt и выглядит как RESTORE_INFO-xxxxxxxx.txt
Шаблон записки можно записать так: 
RESTORE_INFO-<A-Z 0-9 {8}>.txt - т.е. английские буквы в верхнем регистре и цифры, восемь знаков

Примеры записок: 
RESTORE_INFO-C3E24FCE.txt
RESTORE_INFO-4ABFA0EF.txt
RESTORE_INFO-3E376EE0.txt

Три варианта записок SynAck

Как оказалось, существует несколько вариантов записок о выкупе. Специалисты выявили различия и представили их в виде таблицы. 

Сравнительная таблица записок SynAck

Содержание записок о выкупе:
Files on your computer are encrypted.
Algorithm: ecc-secp192r1 & aes-ecb-256
To decrypt your files, please contact us using one of these e-mail addresses:
synack@secmail.pro
synack@scryptmail.com
synack@countermail.com
Please include the following text in your message: 
zMp9IPE******************
....................................................................
Syn---- >
Ack---- >
===
Files are encrypted, algorithm used: ecies-secp192r1 & aes-ecb-256.
To decrypt your files, please contact us using this e-mail address:
tyughjvbn13@scryptmail.com
If for unknown reasons you did not receive any answer on e-mail,
write to BitMessage (using site xxxxs://bitmsg.me/):
BM-2cStoatQC4mDNWDHAoo2C1nYZJXhDsjCLj
Please do not perform any manipulations with encrypted files.
If you want to try to restore your files manually, do backups first.
And please do not remove files with text notes, because they contain important information required for file restoring.
Please include the following text in your message:
0R/Bau5ip******************
....................................................................
Syn---- >
Ack---- >
===
Files are encrypted, algorithm used: ecies-secp192r1 & aes-ecb-256.
To decrypt your files, please contact us using this e-mail address:
bubkjdws@scryptmail.com
If for unknown reasons you did not receive any answer on e-mail,
write to BitMessage (using site xxxxs://bitmsg.me/):
BM-2cWsgWxq1X5M6qjDEBPvCdEbbPLn2zi43k
Please do not perform any manipulations with encrypted files.
If you want to try to restore your files manually, do backups first.
And please do not remove files with text notes, because they contain important information required for file restoring.
Please include the following text in your message:
QOfVQofGO******************


Перевод записок на русский язык:
Файлы на вашем компьютере зашифрованы.
Алгоритм: ecc-secp192r1 & aes-ecb-256
Чтобы расшифровать ваши файлы, свяжитесь с нами, используя один из этих email-адресов:
synack@secmail.pro
synack@scryptmail.com
synack@countermail.com
Пожалуйста, добавьте следующий текст в сообщение:
zMp9IPE******************
....................................................................
Syn---- >
Ack---- >
===
Файлы зашифрованы, использован алгоритм: ecies-secp192r1 & aes-ecb-256.
Чтобы расшифровать ваши файлы, свяжитесь с нами, используя этот email-адрес:
tyughjvbn13@scryptmail.com
Если по неизвестным причинам вы не получили никакого ответа по email,
напишите в BitMessage (используя сайт xxxxs://bitmsg.me/):
BM-2cStoatQC4mDNWDHAoo2C1nYZJXhDsjCLj
Не делайте никаких манипуляций с зашифрованными файлами.
Если вы хотите попытаться восстановить файлы вручную, сначала сделайте резервную копию.
И, пожалуйста, не удаляйте файлы с текстовыми записками, потому что они содержат важную информацию, необходимую для восстановления файла.
Пожалуйста, добавьте следующий текст в сообщение:
0R/Bau5ip******************
....................................................................
Syn---- >
Ack---- >
===
Файлы зашифрованы, использован алгоритм: ecies-secp192r1 & aes-ecb-256.
Чтобы расшифровать ваши файлы, свяжитесь с нами, используя этот email-адрес:
bubkjdws@scryptmail.com
Если по неизвестным причинам вы не получили никакого ответа по email,
напишите в BitMessage (используя сайт xxxxs://bitmsg.me/):
BM-2cWsgWxq1X5M6qjDEBPvCdEbbPLn2zi43k
Не делайте никаких манипуляций с зашифрованными файлами.
Если вы хотите попытаться восстановить файлы вручную, сначала сделайте резервную копию.
И, пожалуйста, не удаляйте файлы с текстовыми записками, потому что они содержат важную информацию, необходимую для восстановления файла.
Пожалуйста, добавьте следующий текст в сообщение:
QOfVQofGO******************

По разумным причинам, текстовой код записок в этой статье обрезан. 

Один из пострадавших, связавшись с вымогателями, предоставил их ответ.

Ответ вымогателей: 
The cost of the decoder is $ 2100
We accept money only in bitcoins since this is the most anonymous currency in the world.
To buy bitcoins, we recommend using one of these services: https://www.bestchange.com or localbitcoins.com
To create a purse, this: blockchain.info
Transfer funds to this address: 15n6gV8QUBsy2yh7wqLppWG4Fw4gsUTNAj
After payment send us a link to the transaction or the address of your wallet and after receiving 3 confirmations we will send you a decoder.

Перевод ответа на русский язык: 
Стоимость декодера составляет 2100 долларов
Мы принимаем деньги только в биткоинах, т.к. это самая анонимная валюта в мире.
Чтобы купить биткоины, мы рекомендуем использовать одну из этих услуг: https://www.bestchange.com или localbitcoins.com
Чтобы создать кошелек, идите на: blockchain.info
Перечислите средства на этот адрес: 15n6gV8QUBsy2yh7wqLppWG4Fw4gsUTNAj
После оплаты отправьте нам ссылку на транзакцию или адрес вашего кошелька, и после получения 3-х подтверждений мы вышлем вам декодер.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ SynAck атакует главным образом англоговорящих пользователей и использует для этого брутфорс-технику (метод перебора пароля) с последующей ручной установкой вредоносного файла. Вероятнее всего используется установка через незащищенную конфигурацию RDP. Затем запускается самозачистка. 

➤ На ранней стадии выполнения SynAck проверяет работу ПК по своему списку стран, в том числе по раскладке клавиатуры. Если он находит соответствие своему белому списку стран, то засыпает на 300 секунд, а затем вызывает функцию ExitProcess для предотвращения шифрования файлов, принадлежащих жертве из этих стран.

➤ SynAck очищает все системные журналы событий.

➤ SynAck в новой версии модифицирует экран входа пользователя Windows следующим образом.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ Пропускаются исполняемые файлы: .exe и другие. 

Файлы, связанные с этим Ransomware:
RESTORE_INFO-[ID].txt - записка с требованием выкупа; 
myfile.exe - исполнямый файл вымогателя; 

msiexec.pdb - название файла проекта Ransomware; 

<random>.exe - случайное название вредоносного файла. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: synack@secmail.pro
synack@scryptmail.com
synack@countermail.com
BTC: 15n6gV8QUBsy2yh7wqLppWG4Fw4gsUTNAj

См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 11 марта 2018:

Email: synack@scryptmail.com
synack@countermail.com
Записка (шаблон): ==READ==THIS==PLEASE==[id{8}].txt
Пример: ==READ==THIS==PLEASE==xxxxxxxx.txt

Содержание записки:
SynAck FES
(Files Encryption Software)
Dear client, we apoligize for inconvinience with your files.
So we make a business offer to order file recovery service from us.
We do not extort money, files restore is an optional service.
Also we will do auditing of your network FOR FREE if you order file recovery service.
Some details about SynAck FES:
This software uses ecies-secp192r1 algorithm to create unique pair of private and public keys for the session.
Each file is encrypted with random key using aes-ecb-256 algorithm.
We strongly recommend you not to use third-party decryptors because they can damage your files.
But if you want to try to restore your files by yourself, make sure you have made backup copies of encrypted files.
And please do not remove files with text notes, because they contain important information required for file restoring.
If you want to order file recovery service, please contact our support using one of the following e-mail addresses:
synack@scryptmail.com
synack@countermail.com
If you have not get a response in 24 hours, please do not panic and write on BitMessage (using site https://bitmsg.me/):
BM-2cTp9eosgjWs8SV14kYCDzPN3HJkwYk1LQ
Keep in mind that there are fake services offering decryption; do not believe them or you will lose your money.
Anyway, there is one method you can use for proof: ask to decrypt some files for free.
No one except us will be able to do that.
!!!!! PLEASE INCLUDE THE FOLLOWING TEXT IN YOUR MESSAGE !!!!
***6 lines and a quarter of random text***
Best regards,
SynAck Team.
=== SynAck FES ===
Пост на форуме >>


Обновление от 7 мая 2018:
SynAck стал использовать вредоносную технологию Doppelgänging, т.е. известную с декабря 2017 года технику внедрения вредоносного кода, которая способна обойти антивирусную защиту. Эта вредоносная техника работает через транзакции NTFS и потому позволяет избежать использования подозрительных процессов в памяти. Вредонос не сохраняется на диске, потому невидим для антивирусных продуктов и уже получил название "бестелесный вредонос". 

Атаки SynAck носят целевой характер и уже зафиксированы в США, Кувейте, Германии и Иране. Средний размер выкупа: 3000 долларов.

SynAck использует ECIES, гибридную схема шифрования на открытых ключах, основанную на эллиптических кривых. 

Описание на английском >>

Обновление от 11 мая 2018:
Результаты анализов: HA + VT + VT


Сообщение от 12-13 августа 2021: 

Статья на сайте TheRecord >>

Статья на сайте BleepingComputer >>

Группа вымогателей SynAck выпустила главные ключи дешифрования после ребрендинга в El_Cometa.

В конце июля 2021 года SynAck была переименована в El_Cometa и вымогатели стали работать на новой платформе уже как RaaS, нанимая партнеров для взлома корпоративных сетей и развертывания своего шифратора.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as SynAck)
 Write-up, Topic of Support

 Добавлено позднее:
 Статья ЛК о технике Doppelgänging >> (от 21 мая 2018 года)

Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать Emsisoft Decryptor для дешифровки >>
Прочтите подробную инструкцию перед запуском. 

 Thanks: 
 BleepingComputer, Lawrence Abrams
 Michael Gillespie
 Catalin Cimpanu 
 (victim in the topic of support)
 

© Amigo-A (Andrew Ivanov): All blog articles.

Arena CryptoMix

Arena Ransomware

Arena CryptoMix Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CryptoMix >> Arena

К зашифрованным файлам добавляется расширение .arena

Примеры зашифрованных файлов: 
1C0845081CCACEB0D0BFB73C1ED2B2F8.arena
331AA7BA31D29A55FF8E019634547E9D.arena
F06C3C509054X0B7D28ZCDDBB17087B9C3E.arena

Активность этого крипто-вымогателя пришлась на конец августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT

Содержание записки о выкупе:
All your files have been encrypted! 
If you want to restore them, write us to the e-mail : ms.heisenberg@aol.com 
Write this ID in the title of your message DECRYPT-ID-0ee6efae-e541-4***-b***-dca7cd8a7725 number number 
In case of no answer in 48 hours write us to theese e-mails : ms.heisenberg@aol.com 
You have to pay for decryption in Bitcoins. 
The price depends on how fast you write to us. 
After payment we will send you the decryption tool that will decrypt all your files. 
Free decryption as guarantee 
Before paying you can send us up to 1 files for free decryption. 
The total size of files must be less than 2 Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
How to obtain Bitcoins 
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
xxxxs://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beg 

Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Если вы хотите их восстановить, напишите нам на e-mail: ms.heisenberg@aol.com
Напишите этот ID в заголовке вашего сообщения. DECRYPT-ID-0ee6efae-e541-4***-b***-dca7cd8a7725 номер номер 
В случае отсутствия ответа в течение 48 часов напишите нам на эти email: ms.heisenberg@aol.com
Вы должны заплатить за дешифрование в биткоинах.
Цена зависит от того, как быстро вы напишете нам.
После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Бесплатное дешифрование как гарантия 
Перед оплатой вы можете отправить нам до 1 файла для бесплатного дешифрования.
Общий размер файлов должен быть менее 2 Мб (не архив), а файлы не должны содержать ценную информацию. (базы данных, резервные копии, большие листы Excel и т.д.)
Как получить биткоины 
Самый простой способ купить биткоины - сайт LocalBitcoins. Вам надо зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
xxxxs: //localbitcoins.com/buy_bitcoins
Также вы можете найти другие места для покупки биткоинов и попросить

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Ключи:

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDA3BRgzCL3mmmPIKa8ZLsOWcbodwdpNArYdLO5PQ5enUQYr572jmnGoF5WKy65p41H7WTeWV/ZMXHKUJS87daeGI/C YvPlgpx6ZDuqSVxMLgXDM1vKbJeuoWuZSeo+Kdy1W22CD3amy3a1HCISX068zaVr wKkQqaz3tS2h+JYZ/wIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCAcL2bv8UxRqZ6DD5VHvsNCAh/ e18CEHVeff1kfCDIB4D9q3/Yu59Mq9P5H7E94m0YlN57eZmJ7uiJth/6/MExv+uw L5izNB/b5CKMuSaqqUsQY27P3yTIfSyWrqQ6Hk2TDljytlvceSFwpWdEFn6B5a5p KnRMzKMSre7zrIUm+QIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCK3KhGZ0Tp5NnWzTT8qQSoXNBf noIUpn3M1ubJf8Z6lb2xGWIYPDpmF+H4yKTPZ20vc49SQ6Dbrdwc0/6TzykOMdOv 9BJWYT75kwEufiqv0Gy9ZHKhlpAXJkrWoOMonFqS4T6HOTdkiN+shadQt299bUlu f+TqSqhkhz6Cp9IHbwIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC8tcLsf2h4fuaJRl9CBkDA5Bs+ CnqGgyOyi3ntolggyIyFcUtiU2mCHMBANUnAjp5Hxk0ODI4ZtlokYgpOWZOP6XYV r5ZGTRzz1IN7ahOSFTpMwCqlafPPqzdAWINdFWQUAaNtNxYwo6jCRyeTTKKNWpH3 Ia4iP9SJjXaytOtbzQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCC6OGfuH1Ht732u4UomMTGb1Kd uQawHQUvhMYzFrWK3x5IMCXnkjJCfGEBcF0FqIMTiYQsY4v2I/71nntIUFLn/usO McdJMMoXCZcErvV8PFRYz7p3QEqKnleUJt10ncib7pZkgqfP5cSx7xymJnj+/fZH 9yVmOlshSkZqNbt6dwIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCk9ZSRC7RxXXihK28uJzFY5iAY 2mgaUU16jGijYai5rZGCt5e9+e412HuPlQYvueOsK7bkyCKlnITbYCzYDOXv+k++ Kk9qi7atez0EcPT77cSrWoC/ENFsmdX/kznw3nbxjyVkoSZzFh+MPM50xCl1f05b eHUwrrAaI82GTtQ7DQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCHAlC0tOBzqZxJbBpF9qi7jVIz GKmop5KMyZ0SmtShlC4ily37+/TllLq0GWfcUlmepUogmuebAHYFFxblH9PaNCwv MNo+HjMJBLHBchvH4buKtmf/ctaGf3CxFmegE9vG/ne9JiSx6IGe5sK1KZbCPqSO X3IpyKirdSCn33QqWwIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCRyCG1kAYipMRe9NKbYX7Z6ndN Ngt3s0sQ1eAYE9+Swnl7etg3KaOhbW0RXIXWW6jMxwrBrGC9JXoLeSe3jREf1lWI nPw/p2GKvERVuf1V+LG0n7fPlKPDLWGhUwi4LxiHmZhrygkG+PBQEhPhyiM7db84 F+QbhSzrRpgPKnMeTQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC9n6bm9GC3UQ8OOB+ahHYuIS3k jkUBOXyKEJKaiebSShdi5pUDAxiObWcks9Ql9Vb/z0S+6h0Ot1iOH9jUQlWlQ8Kt SOoli2eg/Jq42PWL4qW7ejc6qO8KmPvMtsZEqrcwC9Xv0lpx50Xp+cXXf+DUIhhS 7DOwxl7QGcts+oGkpwIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC61mhlwTQ1ZfkjWzTVD5LIvRB+ K87a51nEGOeXBHg8zTGYuZfd0vVh+p9G2p1wNtV9pzfHmzVOBGVVl0pGfB+J4DBP XYUWXYOTswCKRr0jI/xc9Xj9OFqfTJ57mRRb7tcsQyqtwdD90G+9cnftgJsh7XKW cBrGYGrFO7FofO0c/wIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCJdY+JyIV0ZS0QtaD4qvBUl9zI 1Sgt0D1AABnFLoPWJeZsuFnlTf20AS8nfsf0KTPnLFPRx6VKE4DcW66d+Y6gjvnn HfaKU9m+N4KWFV3kyuI3QIaNRDTbcwebA6/93lS9mpNBrOJOhkesYmOJgH80tzOP iYvj9fsEUzVtHNewMwIDAQAB
-----END PUBLIC KEY-----

Выполняет деструктивные команды:
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
bars.exe
<random>.exe

Расположения:
C:\ProgramData\<random>.exe
%USERPROFILE%\Downloads\_HELP_INSTRUCTION.TXT

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://constructioninc.zzz.com.ua/bars.exe***
Email: ms.heisenberg@aol.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


*

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
Azer, Noob, Exte, Pirate, CK, Zayka, Zero, DG - июль 2017
Ogonia, Error, Empty, Arena - август 2017
Shark  - сентябрь 2017
x1881, Coban - октябрь 2017
XZZX, 0000, Test - ноябрь 2017
WORK, FILE, Tastylock - декабрь 2017
SERVER, System - январь 2018
MOLE66 - март 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 Video Review

 Thanks: 
 MalwareHunterTeam, Lawrence Abrams
 Michael Gillespie
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

OhNo!

OhNo! Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в крипто-валюте Monero (XMR), чтобы вернуть файлы. Оригинальное название. На файле написано.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .OhNo!

Активность этого крипто-вымогателя пришлась на конец августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает диалоговое окно, выступающее как экран блокировки с текстом о выкупе.

Содержание текста о выкупе:
OhNo!
You have been, infected with OhNo! ALL your Documents, Downloads, and Desktop have been Encrypted with a Unique Key to your System. Each Key is a TOTALLY Random Key specific to that Machine. Please Pay 2. XMR to the specified address below and you will receive a Email with your Key. Monero (XMR) is a cryptocurrency based on 100% annoymous transactions. You can find how to purchase Monero by using Google. If you can't figure out how to Buy XMR, you probably shouldn't have a PC.
- Goodluck
XMR ADDRESS: 44edA37JgbcWGxKMB***

Перевод текста на русский язык:
О нет!
Вы были инфицированы OhNo! ВСЕ ваши Документы, Загрузки и Рабочий стол были зашифрованы с уникальным к вашей системе ключом. Каждый Ключ представляет собой ПОЛНЫЙ случайный ключ, специфичный для этой машины. Пожалуйста, оплатите 2 XMR по указанному ниже адресу, и вы получите на email ваш ключ. Monero (XMR) - это криптовалюта, основанная на 100% анонимных транзакциях. Вы можете найти, как купить Monero с помощью Google. Если вы не можете понять, как купить XMR, вы, вероятно, не должны иметь ПК.
- Удачи
XMR ADDRESS: 44edA37JgbcWGxKMB***



Заменяет обои Рабочего стола на это изображение.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Шифрует файлы, находящиеся в пользовательских папках "Документы", "Загрузки" и на Рабочем столе. 

Дополнительная информация от исследователей:

 

Список файловых расширений, подвергающихся шифрованию:
.7z, .bmp, .csv, .dll, .doc, .docx, .exe, .gif, .gz, .jpeg, .jpg, .lnk, .midi, .mp3, .pdf, .png, .ppt, .pptx, .txt, .wav, .wpd, .xlsm, .xlsx, .zip (24 расширения).
Это документы MS Office, PDF, текстовые файлы, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
Google Chrome.exe
3577.bat
start.exe
wallpaper.jpg
$pcname.key

Расположения:
%TEMP%\3576.tmp\3577.bat C:\9c367c66d64790286fbd36074cc7af4af05df22a5b3d83f827f5d3138a8f1836.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
XMR: 44edA37JgbcWGxKMBCj94JZu7LQ95rASfRaUe8KMida5ZiQwHxsBv2EjXqrT3anyZ22j7DEE74GkbVcQFyH2nNiC3df9K3y
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as OhNo!)
 Write-up, Topic of Support
 * 

 Thanks: 
 Leo, Michael Gillespie
 Andrew Ivanov (author)
 *

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

KeyMaker

KeyMaker Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $200 в BTC, чтобы вернуть файлы. Оригинальное название: KeyMaker. На файле написано: KeyMaker.exe

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> KeyMaker

К зашифрованным файлам добавляется расширение .CryptedOpps

Активность этого крипто-вымогателя пришлась на вторую половину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
Opps all your files have been encrypted with crytp0lock
You can unlock your files by paying 200 dollars in bitcoin
Send payment too bitcoin address 17Dndl5gV6mMn4Rm3FNHXtwYeXk9ZUikbE you can also contact us at Wecanhelp@protonmail.com for other payments or questions.
You have 2 days to PAY before timer starts deletion of files.

Перевод записки на русский язык:
Упс, все ваши файлы были зашифрованы с помощью crytp0lock
Вы можете разблокировать свои файлы, заплатив 200 долларов в биткоинах
Отправить платеж на биткоин-адрес 17Dndl5gV6mMn4Rm3FNHXtwYeXk9ZUikbE вы также можете связаться с нами по адресу Wecanhelp@protonmail.com для других платежей или вопросов.
У вас есть 2 дня, чтобы заплатить, прежде чем таймер начнет удаление файлов.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt
KeyMaker.exe

Расположения:
\Desktop\READ_IT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
C2: xxxx://lawoffices.000webhostapp.com/Great/key.php***
Email: wecanhelp@protonmail.com
BTC: 17Dndl5gV6mMn4Rm3FNHXtwYeXk9ZUikbE 
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam‏ 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

USBR

USBR Ransomware
HiddenTear Offline Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: USBR.exe

© Генеалогия: HiddenTear >> USBR (HiddenTear Offline)

К зашифрованным файлам добавляется расширение: .salepute

Активность этого крипто-вымогателя пришлась на конец августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
Files has been encrypted
Send me some of your salary in bitcoins or you will lose your file
Cheers, is not end of the world

Перевод записки на русский язык:
Файлы были зашифрованы
Пошлите мне часть зарплаты в биткоинах или потеряете свой файл
Радуйтесь, это не конец света

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
USBR.exe
hidden-tear-offline.exe

READ_IT.txt

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> + образец 2020 >>
Intezer анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet 2020 >>
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam 
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Haze

Haze Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные жёсткий диск, а затем требует выкуп в 25€ PaysaveCard, чтобы вернуть файлы. Оригинальное название: Haze Virus и HazeRansomeware. На файле написано: HazeRansomeware.exe

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется. 

Активность этого крипто-вымогателя пришлась на конец августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Визуально имитирует работу крипто-вымогателя Petya: мигают красный и желтый экраны, потом на красном фоне выводится сообщение о выкупе. 

Запиской с требованием выкупа выступает текст на экране. 

Содержание текста о выкупе:
Welcome to haze Virus
The harddisks of your computer have been locked with a military grade encryption algorthm. There is no way to restore your data without a special key. You can get this key for 25€ if you folow the steps below.
1.Enter your E-Mail address below.
2.Enter a 25€ Paysavecard code below.
3.Click on ok, after a few time you will get a E-Mail from us with the Key.
Enter your E-Mail address: [   ]
Enter 25€ Paysavecard code: [   ]
Enter your Key: [   ]

Перевод текста на русский язык:
Приветствие от туманного вируса
Жесткие диски вашего компьютера были заблокированы с алгоритмом шифрования военного класса. Невозможно вернуть данные без специального ключа. Вы можете получить этот ключ за 25 €, если выполните следующие шаги.
1. Введите email-адрес ниже.
2. Введите 25€ код Paysavecard ниже.
3. Нажмите ОК, через некоторое время получите от нас email с ключом.
Введите ваш email-адрес: [ ]
Введите 25€ код Paysavecard: []
Введите ваш ключ: []

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
На данный момент ничего не шифрует. 
Это могли бы быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HazeRansomeware.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.